课程进度 53% · 第6/10章第6/10章 · 标签 1/3
— 1 —
Web应用测试基础概念
Web应用测试是针对Web站点、接口、后台管理等进行安全性评估,发现潜在漏洞和安全隐患。测试内容涵盖输入验证、认证、会话管理、访问控制、业务逻辑等多个层面。
- 目标:发现Web系统中的安全漏洞,防止被攻击者利用
- 范围:前端、后端、API、数据库、第三方组件等
- 方法:自动化扫描+手工测试+代码审计
bash
1
# SQL注入测试
2
curl "http://target.com/login?user=admin'--&pass=123"
3
4
# XSS测试
5
curl "http://target.com/search?q=<script>alert(1)</script>"
6
7
# 命令注入测试
8
curl "http://target.com/ping?ip=127.0.0.1;id"
— 2 —
测试流程
- 信息收集:收集域名、子域名、目录、接口、指纹等
- 漏洞扫描:自动化工具检测常见漏洞
- 手工测试:针对业务逻辑、认证、访问控制等进行深入测试
- 漏洞验证:手动复现和确认漏洞
- 报告编写:整理漏洞细节和修复建议
bash
1
# 目录扫描
2
ffuf -u http://target.com/FUZZ -w /usr/share/wordlists/dirb/common.txt
3
4
# 子域名爆破
5
sublist3r -d target.com
6
7
# 指纹识别
8
whatweb http://target.com